Kategorien
Volkelt-Briefe

GF/IT: Vorgaben zur IT-Sicherheit

Nur die wenigs­ten der Geschäfts­füh­rer-Kol­le­gen sind IT-Exper­ten. Für die meis­ten Kol­le­gen sind Ser­ver, Daten­ban­ken, PC, Note­book oder Smart­pho­ne Arbeits­mit­tel, die Abläu­fe koor­di­nie­ren und beschleu­ni­gen. Beim The­ma IT-Sicher­heit sind sie in der Regel auf ihre Fach­ab­tei­lung bzw. auf exter­ne Bera­tung angewiesen.

Den­noch: …Als Geschäfts­füh­rer sind Sie im Rah­men ihrer Orga­ni­sa­ti­ons­pflich­ten ver­ant­wort­lich dafür, dass die IT-Sicher­heit stets nach dem Stand der Tech­nik gewähr­leis­tet ist. Es gilt: Als Geschäfts­füh­rer sind ver­pflich­tet, sich bei Ent­schei­dun­gen über kom­ple­xe wirt­schaft­li­che (und tech­ni­sche) Sach­ver­hal­te qua­li­fi­ziert bera­ten zu las­sen – und zwar durch einen in der Sache fach­kun­di­ge Exper­ten (so z. B. OLG Ol­den­burg, Ur­teil vom 22.6.2006, 1 U 34/03). Feh­ler oder Män­gel gehen schluss­end­lich zu Ihren Las­ten. Spä­tes­tens seit den mas­si­ven Cyber­at­ta­cken der letz­ten Wochen müs­sen hier die Alarm­glo­cken der ver­ant­wort­li­chen Geschäfts­füh­rer läuten.

Laut KPMG sind 19 % aller Unter­neh­men in den letz­ten 2 Jah­ren Opfer ver­gleich­ba­rer sog. Ran­som­wa­re-Angrif­fe gewor­den. Das IT-Bera­tungs­un­ter­neh­men Veri­zon mel­det eine Zunah­me sol­cher Delik­te um 50 % inner­halb eines Jah­res. Ten­denz: Wei­ter stark zuneh­mend. Wer hier auf exter­ne Bera­tung ange­wie­sen ist, ist gut bera­ten aus Geschäfts­füh­rungs-Per­spek­ti­ve zumin­dest die grund­legenden Sicher­heits-Ein­rich­tun­gen vor­zu­ge­ben. Der IT-Bera­ter Ste­fan Schwab von der Fa. Schwab-IT ver­an­lasst nach den jüngs­ten Atta­cken in den betreu­ten Unternehmen:

  • Kenn­wör­ter ändern,
  • kom­ple­xe Kenn­wör­ter ver­wen­den (das macht es den Hackern schwieriger),
  • auf den Benut­zer-Namen „Admi­nis­tra­tor“ (admin) ver­zich­ten (die­ser Name wird in 99 % aller Fäl­le als Mas­ter-Benut­zer verwendet),
  • nicht benö­tig­te Frei­ga­ben in Fire­walls schlie­ßen (am bes­ten gar kei­ne Frei­ga­ben ertei­len) und
  • die Sicher­heits-Updates für die Betriebs­sys­te­me immer zeit­nah installieren.

Wich­tig ist, dass Sie die Kon­trol­le über die Inter­net-Nut­zung behal­ten. Hilf­reich ist z. B. die Ein­rich­tung eines vom Ser­ver unab­hän­gi­gen PC, auf dem die Mit­ar­bei­ter ihre pri­va­ten Ange­le­gen­hei­ten erle­di­gen kön­nen. Auch den Zugang zum betrieb­li­chen WLAN soll­ten Sie grund­sätzlich nur über einen getrenn­ten Gast­zu­gang zulassen.

Falsch ist es, auf einen Gewöh­nungs­ef­fekt zu set­zen – „das wird schon an uns vor­über gehen“. Die Zah­len über Miss­brauchs-Atta­cken spre­chen für sich. In Exper­ten­krei­sen ist man sich auch einig dar­über, dass eine Ver­fol­gung und Bestra­fung der (anony­men) Täter immer schwie­ri­ger wird. Mit dem Effekt, dass die­se Delikt­form wei­ter (stark) zuneh­men wird. Hin­zu kommt, dass es immer ein­fa­cher wird, sich ent­spre­chen­de Schad-Soft­ware zu beschaf­fen. So gese­hen ist es eine Fra­ge der Zeit, wann ein sol­cher Angriff auf bis­her noch wenig und nicht sys­te­ma­tisch geschütz­te Unter­neh­men geben wird. Las­sen Sie sich regel­mä­ßig über den IT-Sicher­heits-Stan­dard in Ihrem Unter­neh­men berich­ten. Suchen Sie den Erfah­rungs­aus­tausch mit Ihren Kol­le­gen zum Umgang mit die­sem Thema.

Schreibe einen Kommentar